跳到主要内容
雷竞技最新app
信息服务

管理用户标准

  1. 首页
  2. 信息服务
  3. 技术政策、程序和标准
  4. 管理用户标准

目的

大学社区的所有成员都有责任保护他们可以访问的信息资源。本文件的目的是建立最低标准和准则,以防止意外或故意的数据损坏或丢失,大学业务中断或敏感信息泄露。

额外的权力

  • 家庭教育权利和隐私法
  • 格兰·里奇·比利利法案(GLBA)
  • 健康保险携带与责任法案(HIPAA)
  • 支付卡行业数据安全标准(PCI-DSS) 2.0版
  • 加州SB 1386
  • 2003年《公平准确信用交易法》

范围

适用于所有学生,教师,员工,承包商,顾问,临时员工,客人,志愿者和所有其他实体或个人通过圣克拉拉大学或其附属机构访问敏感信息。雷竞技最新app

本标准适用于所有大学信息资源,包括大学根据许可或合同使用的信息资源。

负责任的政党

资讯保安办事处(ISO)
首席信息安全官,408-554-5554

标准

本文件确定了管理用户的信息安全角色和职责:数据管理员、经理、信息安全办公室、审计、总法律顾问和信息服务。

数据管家

数据管理员是大学社区的成员,他们主要负责收集、输入、存储、管理或处理敏感信息。通过指定或通过获得、开发或创建没有其他方管理的信息资源而成为数据管理员。例如,就本标准而言,图书馆员保管图书馆目录和相关记录,教师保管他们的研究和课程材料,学生保管他们自己的工作,任何在进行大学业务过程中接受信用卡号码的个人都是该信息的管理人。

监护一词并不一定意味着合法所有权。事实上,保存在大学计算机或网络上的信息可能是由大学以外的实体合法拥有的,就像获得许可的软件一样。

数据管理员职责:

建立资讯保安程序:
数据管理员必须建立与其管理的信息的创建、保留、分发和处理有关的内部标准和程序。这些标准必须符合ISO、大学的数据分类标准和数据保留标准,以及其他大学政策、合同协议以及联邦、州和地方法律规定的最低标准。数据管理员可以施加额外的要求以增强安全性,只要这些要求与上述权限一致。

确定授权:

数据管理员必须确定谁有权访问他们的信息。他们必须确保访问这些信息的人需要了解这些信息,并理解这些信息的安全需求。在适用的情况下,数据管理员必须确保那些有权访问敏感信息的人已经签署了涵盖其负责的信息的保密协议。

记录:

数据管理员必须保存所有敏感信息的创建、分发和处理的记录。

事故报告:

数据管理员必须在发现信息泄露的同一天向其经理和ISO报告可疑的或已知的信息泄露。ISO将按照事件响应程序进行处理。

经理

管理者是大学社区中负有管理或监督责任的成员,包括院长、系主任、主任、系主任、小组组长或监督员。指导教学或研究助理的教师也包括在内。

管理人员拥有用户的所有职责,以及信息资源来源的数据管理员。此外,他们还与他们所监督的员工分担信息安全的责任。

经理职责:

建立资讯保安程序:

如果管理者选择为他们的员工建立更严格的信息安全实践,他们必须与ISO的标准、大学政策、合同协议和管理法律保持一致。

管理权限:

管理者必须确保他们的员工有必要的授权来完成他们的工作。授权本身是从信息资源的管理员获得的。管理人员必须确保员工的访问权限符合员工的职责,并在员工离职后24小时内提出停用员工账户的请求。

用户培训和意识:

管理人员必须通过确保员工拥有保护信息所需的培训和工具来提高安全性。

物理安全:

管理人员必须确保其所在区域的信息技术设备的物理安全。当无人值守时,门应上锁以保护设备。便携式设备,如笔记本电脑、手机和其他移动设备,应在部门一级进行登记和定期清查。

事故处理及报告:

管理人员必须向其主管和ISO报告可疑或已知的信息资源泄漏,包括计算机病毒污染资源。事件必须在经理得知发生了妥协的当天报告。管理人员必须配合安全事件的调查和恢复,包括采取任何由有关大学当局认为必要的纪律处分。

资讯保安办事处(ISO)

ISO主要负责监督信息安全,与信息服务部门合作,并与人力资源部门合作,就安全责任对大学社区进行教育。

ISO职责:

批准的实践监督:

ISO必须跟上当前的立法,以及它如何影响安全实践和规划。此外,ISO必须监测其他机构的安全相关活动和最佳实践,并跟踪诸如NACUBO和EDUCAUSE等高等教育组织的活动。

用户培训和意识:

有效的信息安全需要大学所有成员的高度参与,所有人都必须充分了解他们作为数据管理员、用户、管理人员和服务提供者的职责。ISO与管理人员、信息服务部门和人力资源部门合作,负责管理大学所有成员的大学培训和意识计划。

ISO必须努力确保将本标准以及相关的已批准的实践、标准和程序分发到大学社区,通过培训课程和材料向学生灌输正确处理信息的重要性,并解释信息安全的影响。培训应包括使用安全预防措施的具体信息,如加密、反病毒工具、操作系统更新和备份程序。
大学网络和系统的监督机构:
ISO负责监督由大学计算机或网络管理或连接到任何大学计算机或网络的资源的网络和系统安全。

维持标准:

在与大学的其他成员合作中,ISO必须定期重新评估该标准和相关的已批准的实践、标准和程序,以确定是否需要修订以跟上信息技术不断变化的本质。如果有必要进行修订,ISO将征求大学内所有相关团体的意见,然后向副教务长和首席信息官提出建议的修改。

事故处理及报告:

如果信息资源受到损害,大学必须采取措施补救、回应并从事件中恢复。根据事件的性质,这可能包括收集和分析证据,确定责任方,评估损失,从备份文件中恢复数据,关闭安全漏洞,安装更强的安全措施,修改安全指导方针和程序,根据大学政策采取纪律处分,向执法部门报告事件,并与媒体互动。ISO将进一步调查事件,并根据事件响应计划与事件响应小组合作。

评估标准:

ISO负责通过定期进行信息安全评估,确定信息是否得到了符合本标准的保护。

大学法律总顾问

法律总顾问负责解释适用于本标准的法律,并确保该标准与这些法律和其他大学政策一致。本标准中任何不足之处应提请ISO注意。总法律顾问将与ISO和其他被认为必要的各方合作,在必要时报告任何刑事犯罪。

信息服务

信息服务部负责与ISO合作,制定与其他大学政策、州和联邦法律一致的标准。新闻处还将与ISO合作,协助处理培训和合规问题。

执行

违反此标准的行为将按照适用于相关个人或部门的大学纪律程序进行处理。不遵守此标准还可能导致暂停对网络资源的访问,直到达到标准。如果圣克拉拉大雷竞技最新app学因安全漏洞而招致罚款或其他附带费用,大学可以从不合规的部门、学校或辅助机构那里收回这些费用。

本文件的部分内容经乔治敦大学和博伊西州立大学许可改编。